Es posible que desee leer sobre ataques de homógrafos de IDN o falsificación de scripts. Ya que los caracteres que están fuera del habitual a – z (no distingue mayúsculas y minúsculas), 0‒9 y - (guión-menos) ahora pueden usarse , las posibilidades se han ampliado enormemente. Mientras que anteriormente, solo podía esperar engañar a los usuarios utilizando combinaciones como vv para sustituir a w , ahora se pueden emplear homógrafos de Unicode y algunos de estos homógrafos son idénticos cuando se procesan. píxel por píxel! Aquí hay un ejemplo para Twitter (con los puntos de código de Unicode entre paréntesis) generado usando en línea herramienta específicamente para este propósito :
Original: twitter (74, 77, 69, 74, 74, 65, 72)
Fake: twіttеr (74, 77, 456, 74, 74, 435, 72)
El primero es real, pero el segundo es falso. Dependiendo de la fuente, no todas las versiones "falsas" pueden verse bien. Los caracteres de bloques de código menos compatibles pueden renderizarse utilizando una fuente completamente diferente del resto de la cadena y alertar a la víctima.
Sin embargo, hay una defensa simple contra el ataque: haga que el nombre de dominio Unicode sea el Punycode subyacente (un tema aparte puede leer sobre su cuenta), o renderizar selectivamente como Punycode para nombres de dominio que tienen caracteres de múltiples bloques Unicode.